Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

อาการ

เมื่อพยายามเชื่อมต่อ Transport Layer Security (TLS) อาจล้มเหลวหรือหมดเวลา คุณอาจได้รับข้อผิดพลาดอย่างน้อยหนึ่งข้อต่อไปนี้:

  • "คำขอถูกยกเลิก: ไม่สามารถสร้างช่องทางที่ปลอดภัยของ SSL/TLS"

  • ข้อผิดพลาด 0x8009030f

  • ข้อผิดพลาดได้รับการบันทึกไว้ในบันทึกเหตุการณ์ของระบบสำหรับเหตุการณ์ SCHANNEL 36887 พร้อมรหัสการแจ้งเตือน 20 และคำอธิบายว่า "ได้รับการแจ้งเตือนที่ร้ายแรงจากปลายทางระยะไกล รหัสการแจ้งเตือนร้ายแรงที่กำหนดสำหรับโปรโตคอล TLS คือ 20​"

สาเหตุ

เนื่องจากการบังคับใช้ที่เกี่ยวข้องกับความปลอดภัยสำหรับ CVE-2019-1318 อัปเดตทั้งหมดสำหรับ Windows รุ่นที่รองรับที่เผยแพร่ในวันที่ 8 ตุลาคม 2019 หรือหลังจากนั้น จะบังคับใช้ Extended Master Secret (EMS) สำหรับการเริ่มใหม่ตามที่กำหนดโดย RFC 7627 การเชื่อมต่อกับอุปกรณ์ของบุคคลที่สามและระบบปฏิบัติการที่ไม่สอดคล้องอาจมีปัญหาหรือล้มเหลว

ขั้นตอนถัดไป

การเชื่อมต่อระหว่างอุปกรณ์สองเครื่องที่ใช้ Windows รุ่นที่รองรับไม่ควรมีปัญหานี้เมื่ออัปเดตอย่างสมบูรณ์ ไม่มีการอัปเดตสำหรับ Windows ที่จำเป็นสำหรับปัญหานี้ การเปลี่ยนแปลงเหล่านี้จำเป็นในการแก้ไขปัญหาความปลอดภัยและการปฏิบัติตามด้านความปลอดภัย

ระบบปฏิบัติการ อุปกรณ์ หรือบริการของบุคคลที่สามใดๆ ที่ไม่สนับสนุนการเริ่มระบบ EMS ใหม่อาจมีปัญหาเกี่ยวกับการเชื่อมต่อ TLS คุณควรติดต่อผู้ดูแลระบบ ผู้ผลิต หรือผู้ให้บริการของคุณสำหรับการอัปเดตที่รองรับการเริ่มระบบ EMS ใหม่ตามที่กำหนดโดย RFC 7627

หมายเหตุ Microsoft ไม่แนะนำให้ปิดการใช้งาน EMS หาก EMS ถูกปิดการใช้งานอย่างชัดเจนก่อนหน้านี้ คุณสามารถเปิดใช้งานได้อีกครั้งโดยการตั้งค่ารีจิสทรีคีย์ต่อไปนี้:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

บนเซิร์ฟเวอร์ TLS: DisableServerExtendedMasterSecret: 0 บนไคลเอ็นต์ TLS: DisableClientExtendedMasterSecret: 0

ข้อมูลขั้นสูงสำหรับผู้ดูแลระบบ

1. อุปกรณ์ Windows ที่พยายามใช้การเชื่อมต่อ Transport Layer Security กับอุปกรณ์ที่ไม่รองรับ Extended Master Secret (EMS) เมื่อชุดโปรแกรมการเข้ารหัส TLS_DHE_* ถูกตรวจสอบอาจล้มเหลวเป็นระยะที่ประมาณ 1 จาก of 256 ครั้ง เมื่อต้องการลดปัญหานี้ ใช้หนึ่งในวิธีแก้ไขปัญหาที่แสดงต่อไปนี้เพื่อกำหนดลักษณะ:

  • เปิดใช้งานการสนับสนุนการขยาย Extend Master Secret (EMS) เมื่อทำการเชื่อมต่อ TLS สำหรับทั้งระบบปฏิบัติการบนไคลเอ็นต์และเซิร์ฟเวอร์

2. ระบบปฏิบัติการที่ส่งเฉพาะข้อความขอใบรับรองในแฮนด์เชคเต็มรูปแบบหลังจากการเริ่มใหม่ไม่เป็นไปตามมาตรฐาน RFC 2246 (TLS 1.0) หรือ RFC 5246 (TLS 1.2) และจะทำให้การเชื่อมต่อแต่ละครั้งล้มเหลว การเริ่มใหม่ไม่ได้รับการรับรองโดย RFC แต่อาจใช้ได้ตามดุลยพินิจของไคลเอ็นต์และเซิร์ฟเวอร์ TLS หากคุณพบปัญหานี้ คุณจะต้องติดต่อผู้ผลิตหรือผู้ให้บริการเพื่อรับการอัปเดตที่เป็นไปตามมาตรฐาน RFC3. เซิร์ฟเวอร์หรือไคลเอนต์ FTP ที่ไม่สอดคล้องกับ RFC 2246 (TLS 1.0) และ RFC 5246 (TLS 1.2) อาจไม่สามารถถ่ายโอนไฟล์ในการเริ่มใหม่หรือแฮนด์เชคแบบย่อและจะทำให้การเชื่อมต่อแต่ละครั้งล้มเหลว หากคุณพบปัญหานี้ คุณจะต้องติดต่อผู้ผลิตหรือผู้ให้บริการเพื่อรับการอัปเดตที่เป็นไปตามมาตรฐาน RFC

การอัปเดตที่ได้รับผลกระทบ

การอัปเดตแบบสะสมล่าสุด (LCU) หรือชุดรวมอัปเดตรายเดือนและการอัปเดตความปลอดภัยเท่านั้นที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2019 เป็นต้นไปสำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:

  • KB4517389 LCU สำหรับ Windows 10 เวอร์ชัน 1903

  • KB4519338 LCU สำหรับ Windows 10 เวอร์ชัน 1809 และ Windows Server 2019

  • KB4520008 LCU สำหรับ Windows 10 เวอร์ชัน 1803

  • KB4520004 LCU สำหรับ Windows 10 เวอร์ชัน 1709

  • KB4520010 LCU สำหรับ Windows 10 เวอร์ชัน 1703

  • KB4519998 LCU สำหรับ Windows 10 เวอร์ชัน 1607 และ Windows Server 2016

  • KB4520011 LCU สำหรับ Windows 10 เวอร์ชัน 1507

  • KB4520005 ชุดรวมอัปเดตรายเดือนสำหรับ Windows 8.1 หรือ Windows Server 2012 R2

  • KB4520007 ชุดรวมอัปเดตรายเดือน Windows Server 2012

  • KB4519976 ชุดรวมอัปเดตรายเดือนสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1

  • KB4520002 ชุดรวมอัปเดตรายเดือน Windows Server 2008 SP2

การอัปเดตเฉพาะความปลอดภัยเท่านั้นที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2019 สำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:

  • KB4519990 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 8.1 และ Windows Server 2012 R2

  • KB4519985 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2012 และ Windows Embedded 8 Standard

  • KB4520003 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1

  • KB4520009 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2008 SP2

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย